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Beschreibung 

Verfahren und Anordnung zum verschlusselten Ubertragen von 
Kommunikationsdatenstromen iiber ein paketorientiertes Kommu- 
nikationsnetz 

In zeitgemaEen Kommunikationssystemen werden Kommunikations- 
verbindungen, insbesondere Echtzeitverbindungen, z.B. zur 
Sprach-, Video- und/oder Multimediakommunikation, in zuneh- 
mendem MaSe auch iiber paketorientierte Kommunikationsnetze, 
wie z.B. lokale Netze (local area networks) oder Weitver- 
kehrsnetze (wide area networks) gefuhrt. Hierfur werden meist 
Ubertragungsprotokolle aus der TCP/IP-Protokollf amilie (IP: 
Internet Protocol, TCP: Transmission Control Protocol) ver- 
wendet . Eine mittels des Internetpr otokol 1 s , im Folgenden 
kurz als IP bezeichnet, ubertragene Kommunikat ionsverbindung , 
z.B. zur Sprach- , Video- und/oder Multimediakommunikation, 
wird haufig auch als VoIP -Verb indung (VoIP: Voice/Video over 
Internet Protocol) bezeichnet. 

VoIP-Verbindungen werden haufig liber offene Weitverkehrsnet- 
ze, wie z.B. das Internet gefuhrt , wo an der Ubertragung be- 
teiligte Netzknoten im Prinzip auf die im Rahmen der VoIP- 
Kommunikationsverbindungen iiber tragenen IP-Datenpakete 
zugreifen konnen . Urn dennoch eine Vertraulichkeit von VoIP- 
Kommunikationsverbindungen zu gewahrleisten, konnen VoIP- 
Kommunikationsdatenstrome verschliisselt ubertragen werden. 

Fur eine verschliisselte Ubertragung von IP-basierten, d.h. 
als eine Folge von IP-Datenpaketen vorliegenden Kommunikati- 
onsdatenstromen wird iiblicherweise das sogenannte IPSec- 
Protokoll (Internet Protocol Security) verwendet . Durch das 
IPSec-Protokoll wird jedes im Rahmen einer zu sichernden Kom- 
munikationsverbindung zu iibertragende IP-Datenpaket einzeln 
verschliisselt und das verschliisselte IP-Datenpaket ubertra- 
gen . 
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Die Verschlusselung eines VoIP-Datenpakets erfordert gedoch 
. einen verhaltnismaSig hohen Rechenauf wand . In der Regel ist 
deshalb die Maximalanzahl von VoIP-Paketen, die pro Zeitein- 
heit durch eine Ubertragungsbaugruppe verschliisselt werden 
5 kann, durch deren verfiigbare Prozessorleistung begrenzt. In 
der Praxis ist die Anzahl von verschlusselten VoIP- 
Verbindungen, die uber eine Ubertragungsbaugruppe parallel 
gefuhrt werden konnen, aufgrund des hohen Verschlusselungs- 
aufwandes wesentlich geringer als die entsprechende Anzahl 
10 unverschlusselter VoIP-Verbindnngen. So haben beispielsweise 
Tests ergeben, dass eine fur 120 unverschlussel te parallele 
VoIP-Verbindungen ausgelegte, dem Stand der Technik entspre- y 
- chende Ubertragungsbaugruppe nur 10 VoIP-Verbindungen paral- ^ 
lei verschliisseln kann. 

15 

Es ist Aufgabe der vorliegenden Erfindung ein Verfahren sowie 
eine Anordnung anzugeben, die ein verschliisseltes Ubertragen 
einer gemessen am Stand der Technik hoheren Anzahl paralleler 
IP-Kommunikationsdatenstrome erlauben. 

20 

Gelost wird diese Aufgabe durch ein Verfahren mit den Merkma- 
len des Patentanspruchs 1 sowie durch eine Ubertragungsein- 
richtung mit den Merkmalen des Patentanspruchs 5. 

25 Zum verschlusselten Ubertragen von jeweils als Folge von IP- >,#[k, 
Datenpaketen vorliegenden Kommunikationsdatenstromen uber ein 
paketorientiertes Kommunikationsnetz , wie z.B. ein lokales 
Netz oder ein Weitverkehrsnetz , werden durch einen Sammelpa- 
keterzeuger Sammel-IP-Datenpakete gebildet, die jeweils meh- 

3 0 rere IP-Datenpakete verschiedener Kommunikationsdatenstrome 

enthalten. Ein jeweiliges Sammel-IP-Datenpaket wird durch ein 
- vorzugsweise standardisiertes - Verschlusselungsmodul zum 
Verschliisseln von IP-Datenpaketen verschliisselt. Die ver- 
schlusselten Sammel-IP-Datenpakete werden dann uber das Kom- 

3 5 munikationsnetz ubertragen. 
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Durch das Zusammenf assen mehrerer IP-Datenpakete zu einem zu 
verschlusselnden Sammel-IP-Datenpaket kann der zum Verschliis- 
seln benotigte Rechenaufwand erheblich verringert werden, da 
die Verschliisselung des Sammel-IP-Datenpaketes weniger auf- 
5 wendig ist als eine separate Verschliisselung der einzelnen 
enthaltenen IP-Datenpakete. Diese Rechenzeiteinsparung ist 
dadurch begriindet, dass der Verschlusselungsaufwand fur ein 
IP-Datenpaket sich aufteilt in einen- Schritt zum Vorbereiten 
der Verschliisselung, dessen Rechenaufwand unabhangig von der 

10 Grofie des IP-Datenpakets ist-, und einen Schritt zum Durchfuh- 

ren der Verschliisselung, dessen Rechenaufwand naherungsweise 
o proportional zur GroEe des TP-Datenpakets ist. Bei der Ver- 

K schlusselung eines Sammel-IP-Datenpakets muss das Vorbereiten 
der Verschliisselung nur einmal durchgef iihrt werden, namlich 

15 fiir das Sammel-IP-Datenpaket , und nicht mehrfach, wie bei se- - 
parater Verschliisselung jedes einzelnen enthaltenen IP- 
Datenpakets . Bei iiblichen VoIP-Kommunikationsverbindungen ist 
die erzielbare Rechenzeitersparnis verhaltnismaSig hoch, da 
VoIP-Datenpakete relativ klein sind und demzuf olge das Vorbe- 

20 reiten der Verschliisselung eines solchen IP-Datenpakets oft 
langer dauert, als die Durchfuhrung der Verschlusselung 
selbst. 

Durch die erhebliche Verringerung des Gesamtrechenaufwandes 
v<0&5 konnen mit Hilfe der Erfindung bei vorgegebener Rechenleis- 
tung wesentlich mehr Kommunikationsdatenstrome parallel ver- 
schlusselt und ubertragen werden. 

Vorteilhafte Ausf uhrungsf ormen der Erfindung sind in den ab- 
3 0 hangigen Anspriichen angegeben. 

GemaS einer vorteilhaf ten Ausf uhrungsf orm der Erfindung kon- 
nen die Sammel-IP-Datenpakete mittels eines verschlusselnden 
Tunnel ing-Verf ahrens auf der Netzwerkschicht , d.h. Schicht 3 
35 des OSI-Ref erenzmodells ubertragen werden. Das Verschlusse- 
lungsmodul kann hierzu ein Einkapselmodul aufweisen zum Ein- 
kapseln von im Verschlusselungsmodul verschliisselten Daten 
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eines ersten IP-Datenpakets in ein zweites IP-Datenpaket. Im 
Vergleich zu auf Schicht 2 des OSI-Ref erenzmodells aktiven 
Protokollen, wie z.B. PPTP, L2F oder L2TP, gilt ein auf der 
Netzwerkschicht aktives Verschliisselungsprotokoll als wesent- 
5 lich sicherer. 

Weiterhin kann - vorzugsweise durch eine Adressvergleichsein- 
richtung - ermittelt werden, welche der Kommunikationsdaten- " 
strome ein gemeinsames Ubertragungsziel aufweisen. Unter ei- 
10 nem Ubertragungsziel sei hierbei auch ein Ubertragungszwi- 
schenziel verstanden. Ein jeweiliges Sammel- IP-Datenpaket 
kann dann ausschliefilich aus IP-Datenpaketen von Kommunikati- ^ 
onsdatenstromen mit gemeinsamem Ubertragungsziel gebildet J 
werden . 

15 

Daruber hinaus kann ein jeweiliges Sanmiel- IP-Datenpaket aus 
innerhalb eines vorgegebenen Zei tintervalls eintref f enden IP- 
Datenpaketen verschiedener Komrnunikationsdatenstrome gebildet 
werden. Zum Vorgeben des Zei tintervalls kann ein Zeitgeber 

2 0 vorgesehen sein. Durch das Vorgeben eines Zei tintervalls , in- 

nerhalb dessen in einem einzelnen Sammel- IP-Datenpaket zu 
ubertragende IP-Datenpakete eintref fen mussen, kann die Uber- 
tragungsverzogerung fur die Komrnunikationsdatenstrome be- 
grenzt werden. Vorzugsweise konnen zu einem jeweiligem Zeit- 
25 punkt in einem Eingangsregister parallel vorliegende IP- % ,0) t 
Datenpakete zu einem Sammel- IP-Datenpaket zusammengef asst 
werden . 

Ein Ausfuhrungsbeispiel der Erfindung wird nachfolgend anhand 

3 0 der Zeichnung naher erlautert , 

Dabei zeigen jeweils in schematischer Darstellung: 

Figur 1 zwei uber ein paketorientiertes Kommunikations- 
35 netz gekoppelte Kommunikationsanlagen und 
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Figur 2 eine Ubertragungseinrichtung zum verschlusselten 
Ubertragen von Kommunikationsdatenstromen . 

In Figur 1 sind zwei uber ein paketorientiertes Kommunikati- 
5 onsnetz KN, beispielsweise ein lokales Netz oder ein Weitver- 
kehrsnetz wie das Internet, gekoppelte Telekommunikationsan- 
lagen TKl und TK2 schematisch dargestellt. Fur das vorliegen- 
de Ausfuhrungsbeispiel sei angenommen; dass die Telekommuni- 
kationsanlagen TKl und TK2 sowohl leitungsorientierte Kommu- 
10 nikation als auch paketorientierte VoIP-Kommunikation unter- 
stutzen. 

1 An die Telekommunikationsanlage TKl sind ISDN-Telef one ISDNl 
(ISDN: Integrated Services Digital Network) iiber eine ISDN- 

15 Teilnehmerbaugruppe ISDN-MOD der Telekommunikationsanlage TKl 
sowie IP- Ende inr i chtungen IPl iiber eine IP-Teilnehmerbaugrup- 
pe IP-MOD der Telekommunikationsanlage TKl angeschlossen. 
Analog dazu sind ISDN-Telef one ISDN2 an eine ISDN-Teilnehmer- 
baugruppe ISDN-MOD der Telekommunikationsanlage TK2 sowie IP- 

2 0 Endeinrichtungen IP2 an eine IP-Teilnehmerbaugruppe IP-MOD 

der Telekommunikationsanlage TK2 angeschlossen. Die IP-End- 
einrichtungen IPl und IP2 sind paketorientierte VoIP-Kommuni- 
ka t i ons endeinri chtungen , wie z.B. Endgerate zur IP-basierten 
Sprach-, Video-, Fax-, Daten- und/oder Multimediakommunikati- 
on oder Personalcomputer oder darauf ablaufende Kommunikati- 
onsanwendungen oder Kommunikatikonsclients . Eine derartige 
IP-Endeinrichtung zur Sprachkommunikation wird haufig auch. 
als IP-Telefon bezeichnet. 



3 0 Die Telekommunikationsanlagen TKl und TK2 weisen jeweils eine 
IP-Trunking-Baugruppe IP-TR auf, iiber die die Telekommunika- 
tionsanlagen TKl und TK2 an das paketorientierte Kommunikati- 
onsnetz KN angekoppelt sind. An die IP-Trunking-Baugruppe IP- 
TR ist jeweils die IP-Teilnehmerbaugruppe IP-MOD sowie die 

35 ISDN-Teilnehmerbaugruppe ISDN-MOD angeschlossen. Letztere ist 
iiber ein Paketumsetzmodul IWU der IP-Trunking-Baugruppe IP-TR 
an diese angekoppelt. Das Paketumsetzmodul IWU dient zum Urn- 
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setzen zwischen einem leitungsorientierten, hier ISDN- 
basierten Ubertragungsprotokoll der ISDN-Telef one ISDNl bzw. 
ISDN2 und einem paketorientierten, hier IP-basierten Ubertra- 
gungsprotokoll. Durch das Paketumsetzmodul IWU werden ISDN- 
5 Kommunikationsdatenstrome jeweils in einen aus einer Folge 
von IP-Datenpaketen bestehenden Kommunikationsdatenstrom um- 
gesetzt. 

Die IP-Trunking-Baugruppen IP-TR weisen weiterhin jeweils ei- 
10 ne Ubertragungseinrichtung TD auf , iiber die sie an das Kommu- 
nikationsnetz KN angekoppelt sind. Die Ubertragungseinrich- 
tungen TD dienen zum verschlusselten Ubertragen von IP- 
basierten Kommunikationsdatenstromen uber das paketorientier- ^ 
te Kommunikationsnetz KN und stellen einen gesicherten, iiber 
15 das Kommunikationsnetz KN fiihrenden Uber tragungs tunnel T fur 
VoIP-Datenpakete bereit. 

Figur 2 zeigt die Ubertragungseinrichtung TD in detaillierte- 
rer Darstellung. Die Ubertragungseinrichtung TD weist einen 

2 0 Sammelpaketerzeuger SPE mit einer Adressvergleichseinrichtung 
AV und einem Zeitgeber TM, ein Verschlusselungsmodul IPSEC 
* mit einem . Einkapselmodul EM sowie eine IP-Schnittstelle IPIF 
zum Kommunikationsnetz KN auf. Der Sammelpaketerzeuger SPE 
ist extern mit der IP-Teilnehmerbaugruppe IP-MOD und liber das 

2 5 Paketumsetzmodul IWU mit der ISDN-Teilnehmerbaugruppe ISDN- 
MOD, sowie intern mit dem Verschlusselungsmodul IPSEG gekop- 
pelt. Das Verschlusselungsmodul IPSEC ist wiederum iiber die 
IP-Schnittstelle IPIF an das Kommunikationsnetz KN gekoppelt. 

30 Das Verschlusselungsmodul IPSEC dient zum Verschlusseln ein- 
zelner IP-Datenpakete und stellt fur diese den gesicherten 
Ubertragungstunnel T auf Schicht 3 des OSI-Ref erenzmodells 
bereit. Im vorliegenden Ausf uhrungsbeispiel ist das Ver- 
schlusselungsmodul IPSEC durch einen standardisierten IPSec- 

35 Protokollstapel (IPSec: Internet Protocol Security) reali- 

siert. Im Vergleich zu auf Schicht 2 des OSI-Ref erenzmodells 
aktiven Protokollen, wie z.B. PPTP, L2F oder L2TP, gilt das 



1 
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IPSec-Protokoll als wesentlich sicherer und erlaubt einen 
Aufbau sicherer Extranets. 

Im Folgenden sei der Fall betrachtet, dass im Rahmen ver- 
5 schiedener parallel bestehender Kommunikationsverbindungen, 
mehrere von den IP-Endeinrichtungen IP1 oder den ISDN- 
Telefonen ISDN1 ausgehende VoIP-Kommunikationsdatenstrome, 
z.B. Sprach- , Video- und/oder Multimediadatenstrome , parallel 
liber das Kommunikationsnetz KN in Echtzeit oder Quasiechtzeit 
10 ubertragen werden. Die Koramunikationsdatenstrome werden dabei 
dem Sammelpaketerzeuger SPE der Ubertragungseinrichtung TD, 
... ^ gegebenenf alls nach Umsetzung durch das Pake turns etzmodul 1WU, 
^ jeweils als Folge einzelner VoIP-Datenpakete zugeleitet. 

15 Es sei angenommen, dass innerhalb eines Zeitintervalls , das 

kurz gegeniiber dem mittleren Zeitabstand auf einanderf olgender 
IP-Datenpakete desselben Kommunikationsdatenstroms ist, vier 
VoIP-Datenpakete DPI, DP2 , DP3 und DP4 , die verschiedenen 
Kommunikationsdatenstromen angehoren, beim Sammelpaketerzeu- 

20 ger SPE eintreffen und parallel in einem Eingangsspeicher 

vorliegen. Das Zeitintervall wird durch den Zeitgeber TM vor- 
gegeben bzw. uberwacht. Durch Priifung der IP-Zieladressen der 
IP-Datenpakete DPI, . . . , DP4 ermittelt die Adressvergleichsein- 
richtung AV, welche der IP-Datenpakete DP1,...,DP4 ein ge- 
^j^5 meinsames Ubertragungsziel aufweisen. Im vorliegenden Ausfiih- 
rungsbeispiel weisen alle IP-Datenpakete DP1,...,DP4 das sei- 
be Ubertragungszwischenziel auf, namlich die Telekommunikati- 
onsanlage TK2 . Inf olgedessen werden durch den Sammelpaketer- 
zeuger SPE alle diese IP-Datenpakete DPI, . . . , DP4 in einem 

30 Sammel-IP-Datenpaket SP zusammengef asst , das dem Verschlusse- 
lungsmodul IPSEC ubergeben wird. 

Durch die Zusammenf assung von parallel vorliegenden - vor- 
zugsweise alien parallel vorliegenden - IP-Datenpaketen ver- 
3 5 schiedener Kommunikationsdatenstrome , kann eine wesentliche 
Verzogerung der Kommunikationsdatenstrome vermieden werden. 
Eine wesentliche Verzogerung wiirde auftreten, wenn zum Bilden 
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eines nur einem einzigen Kommunikationsdatenstrom zugeordne- 
ten Sammel-IP-Datenpakets auf auf einanderf olgende IP-Daten- 
pakete dieses Koiranunikationsdatenstroms gewartet werden miiss- 
te. 

5 

Im vorliegenden Ausf uhrungsbei spiel ist das Sammel-IP-Daten- 
paket SP ein gewohnliches IP-Datenpaket gemaS Intemetproto- 
koll mit einem IP-Paketkopf HDR und einem Nutzdatenbereich, 
in den die einzelnen IP-Datenpakete DPl / ... / DP4 als ganzes, 

10 d.h. inklusive deren jeweiligem Paketkopf, eingefiigt sind. 

Das Einfugen der vollstandigen IP-Datenpakete DP1,...,DP4 ist 
insofern vorteilhaf t , als bei der nachf olgenden Verschlusse- -Qj 
lung auch die Paketkopfe verschlusselt werden, so dass keine ^ 
Information uber Ursprung, Ziel oder Verbindungsparameter der 

15 einzelnen Kommunikationsdatenstrome von Unberechtigten lesbar 
ist . 

Im Verschlusselungsmodul IPSEC wird der Dateninhalt des Sam- 
mel-IP-Datenpakets SP verschlusselt und der verschlusselte 

2 0 Dateninhalt durch das Einkapselmodul EM in ein verschlussel- 

tes Sammel-IP-Datenpaket VSP eingekapselt . Das verschlusselte 
Sammel-IP-Datenpaket VSP wird dann uber die IP-Schnittstelle 
IPIF in das Kommunika t i onsne t z KN ubertragen. 

25 Im vorliegenden Ausf uhrungsbeispiel ist das verschlusselte 

Sammel-IP-Datenpaket VSP ein Datenpaket gemaK Internetproto- 
koll mit einem IP-Paketkopf IPSEC-HDR und einem verschlussel- 
te Daten VDATA enthaltenden Nutzdatenbereich . In den ver- 
schlusselten Daten VDATA sind die IP-Datenpakete DP1 / ...,DP4 

3 0 verschlusselt . 

Der zum Verschlusseln des Sammel-IP-Datenpakets SP erforder- 
liche Rechenaufwand ist in der Regel wesentlich geringer als 
der Rechenaufwand, der zum separaten Verschlusseln der ein- 
35 zelnen IP-Datenpakete DP1,...,DP4 erforderlich ware. Beim 

Verschlusseln des Sammel-IP-Datenpakets SP muss namlich das 
rechenaufwendige Vorbereiten der Verschliisselung nur einmal 



I 
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durchgefuhrt werden, und nicht mehrfach wie bei separater 
Verschlusselung jedes einzelnen IP-Datenpakets DPl,...,DP4. 
In der Praxis enthalten VoIP-Datenpakete meist nur verhalt- 
nismaSig wenige Nutzdaten, urn die Ubertragungsverzogerung zu 
5 verringern. So enthalten z.B. VoIP-Datenpakete, die durch 

Verwendung von Codecs gemaS den ITU-T-Empf ehlungen G.729 oder 
G.723 entstehen, jeweils nur 2 0 Byte Sprachdaten . Fur derar- 
tig kurze Datenpakete dauert das Vorbereiten der Verschlusse- 
lung etwa doppelt so lange wie das Durchfuhren der Verschlus- 

10 selung selbst. Werden - wie im vorliegenden Ausf uhrungsbei- 

spiel - vier VoIP-Datenpakete DPI , . . . , DP4 zu einem Sammel-IP- 
^ Datenpaket, hier SP, zusaramengefasst, so lasst sich dreimal 
^ der Rechenaufwand fur das Vorbereiten der Verschlusselung 

einsparen. Die Verschlusselung des einen Sammel-IP-Datenpa- 

15 kets SP erfordert somit nur noch halb so viel Rechenaufwand 
wie eine getrennte Verschlusselung der vier einzelnen VoIP- 
Datenpakete DPI, . . . , DP4 . Bei gleichbleibender Rechenleistung 
der Ubertragungseinrichtung TD verdoppelt sich somit die An- 
zahl der parallel verschliisselbaren Kommunikationsdatenstro- 

2 0 me . 

Die uber das Kommunikationsnetz KN ubertragenen, verschlus- 
selten Sammel-IP-Datenpakete VSP werden am Ubertragungszwi- 
schenziel TK2 wieder durch deren Verschlusselungsmodul ent- 
^jp25 schlusselt. Aus dem entschlussel ten Sammel-IP-Datenpaket wer- 
den schlieSlich die einzelnen IP-Datenpakete DPI , . . . , DP4 ent- 
packt und gemafi deren individueller IP-Zieladresse weiterver- 
mittelt . 



30 
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Patentanspruche 

1) Verfahren zum verschlusselten Ubertragen von jeweils als 
Folge von IP-Datenpaketen (DPI , . . . , DP4 ) vorliegenden Kom- 
munikationsdatenstromen liber ein paketorientiertes Kommu- 
nikationsnetz (KN) , bei dem 

a) Sammel-IP-Datenpakete (SP) gebildet werden, die jeweils 
mehrere IP-Datenpakete (DPI , . . . , DP4) verschiedener Kom- 
munikationsdatenstrome en thai ten, 

b) ein jeweiliges Sammel-IP-Datenpaket (SP) durch ein Ver- 
schlusselungsmodul (IPSEC) zum Verschlusseln von IP- 
Datenpaketen verschlussel t wird, und 

c) die verschlusselten Sammel-IP-Datenpakete (VSP) uber das 
Kommunikationsnetz (KN) ubertragen werden. 

2) Verfahren nach Anspruch 1, 
dadurch g e k e n n z e i c h n e t , 

dass die Sammel-IP-Datenpakete (SP) mittels eines ver- 
schlusselnden Tunneling-Verf ahrens auf der Netzwerkschicht 
des OSI-Ref erenzmodells ubertragen werden. 

3) Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass ermittelt wird, welche der Kommunikationsdatenstrome 
ein gemeinsames Ubertragungsziel aufweisen, und ein jewei- 
liges Sammel-IP-Datenpaket (SP) aus IP-Datenpaketen 
(DPI , DP4 ) von Kommunikationsdatenstromen mit gemeinsa- 

mem Ubertragungsziel gebildet wird. 

4) Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass ein jeweiliges Sammel-IP-Datenpaket (SP) aus inner- 
halb eines vorgegebenen Zei tintervalls eintref f enden IP- 
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Datenpaketen (DPI, . . . ,DP4) verschiedener Kommunikationsda- 
tenstrome gebildet wird. 

5) Ubertragungseinrichtung (TD) zum verschlusselten Ubertra- 
gen von jeweils als Folge von IP-Datenpaketen 

(DPI, . . . ,DP4) vorliegenden Kommunikationsdatenstromen iiber 
ein paketorientiertes Koramunikationsnetz (KN) , mit 

a) einem Sammelpaketerzeuger (SPE) zum Bilden von Sammel- 
IP-Datenpaketen (SP) , die jeweils mehrere . IP-Datenpakete 
(DPI , . . . , DP4 ) verschiedener Kommunikationsdatenstrome 
enthalten, 

b) einem Verschlusselungsmodul (IPSEC) zum Verschlusseln 
eines , jeweiligen Sammel-IP-Datenpakets (SP) , und 

c) einer IP-Schnittstelle (IPIF) zum .Ubertragen der ver- 
schlusselten Sammel-IP-Datenpakete (VSP) uber das Kommu- 
nikationsnetz (KN) . 

6) Ubertragungseinrichtung nach Anspruch 5, 
dadurch gekennzeichnet, 

dass das Verschlusselungsmodul (IPSEC) ein Einkapselmodul - 
(EM) aufweist zum Einkapseln von im Verschlusselungsmodul 
(IPSEC) verschlusselten Daten eines ersten IP-Datenpakets 
in ein zweites IP-Datenpaket (VSP) . 

7) Ubertragungseinrichtung nach Anspruch 5 Oder 6, 
gekennzeichnet durch 

eine Adressvergleichseinrichtung (AV) zum Ermitteln, wel- 
che der Kommunikationsdatenstrome ein gemeinsames Ubertra- 
gungsziel aufweisen, und 

einen Sammelpaketerzeuger (SPE) zum Bilden von Sammel-IP- 
Datenpaketen (SP), die jeweils IP-Datenpakete 
(DPI, . . . ,DP4) von Kommunikationsdatenstromen mit gemeinsa- 
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mem Ubertragungsziel enthalten. 

8) Ubertragungseinrichtung nach einem der Anspriiche 5 bis 7, 
gekennzeichnet durch 

einen Zeitgeber (TM) zum Vorgeben eines Zei tintervalls , 
innerhalb dessen eintreffende IP-Datenpakete (DPI , . . . , DP4 ) 
verschiedener Kommunikationsdatenstrome zu einem Sammel- 
IP-Datenpaket (SP) zusammengef asst werden. 
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Zusammenf assung 

Verfahren und Anordnung zum verschlusselten Ubertragen von 
Kommunikationsdatenstromen uber ein paketorientiertes Kommu- 
5 nikationsnetz 

Zum verschlusselten Ubertragen von jeweils als Folge von IP- 
Datenpaketen (DPI , . . . , DP4 ) vorliegenden Kommunikationsdaten- 
stromen uber ein paketorientiertes Kommunikationsnetz (KN) 
10 werden durch einen Sammelpaketerzeuger (SPE) Sammel-IP- 

Datenpakete (SP) gebildet, die jeweils mehrere IP-Datenpakete 
(DPI, . . . , DP4) verschiedener Kommunikationsdatenstrome enthal- 

1 ten. Ein jeweiliges Sammel-IP-Datenpaket (SP) wird durch ein 
Verschlusselungsmodul (IPSEC) zum Verschlusseln von IP- 

15 Datenpaketen verschlusselt . Die verschlusselten Sammel-IP- 
Datenpakete (VSP) werden dann liber das Kommunikationsnetz 
(KN) ubertragen. 

2 0 Figur 2 
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